3 raisons pour lesquelles l’empreinte digitale seule ne doit pas remplacer les mots de passe

Vous avez surement déjà entendu ici et là que de plus en plus nous pourrions utiliser nos empreintes digitales en lieu et place des mots de passe. C'est d'ailleurs déjà une pratique courante pour beaucoup d'utilisateurs d'iPhone et c'est de plus en plus utilisé en entreprise aussi pour déverrouiller vos postes de travail. Mais est-ce une vraie bonne solution pour remplacer les mots de passe ? Je vais vous expliquer pourquoi, pour moi, ce n'est pas du tout une bonne solution de remplacer les mots de passe uniquement par les empreintes, bien entendu cela n'engage que moi. Rien n'empêche de l'utiliser en complément de sécurité.

1 - Tu l'as mis ou ton doigt ?

Tel qu'expliqué dans mon livre blanc sur une bonne gestion des mots de passe le but de ces derniers est de rester secret. Il ne faut pas qu'il soit lisible par n'importe qui que ce soit via un post-it etc. Mon sous-titre à du en faire rire plus d'un, mais réfléchissez bien; ou mettez-vous vos doigts toute la journée ? Clavier, téléphone, carte de visite, métro, bus, courrier, boites aux lettres et j'en passe encore des dizaines si ce n'est plus.

Vous voyez où je vous emmène ? Oui vous devez considérer vos empreintes comme un secret mais si vous les collez un peu partout autant laisser des post-it avec vos mots de passe aux mêmes endroits. Il est très facile pour une personne qui vous a ciblé de vous suivre et de finir par obtenir sans mal vos empreintes.

2 - Changement de doigt ?

Autre point important que l'on évoque dans une bonne gestion d'accès (mots de passe ou autre) c'est de pouvoir changer régulièrement le secret qui permet de valider notre accès. Un mot de passe c'est relativement simple à changer avec un générateur de mots de passe, mais vos empreintes ? Au bout de 10 changements ça va devenir compliqué non ? Admettons 20 si on prend les orteils ce qui serait comique au boulot ou dans le train pour déverrouiller son poste de travail.

Le fait de ne pas pouvoir le renouveler suffisamment rends cette protection faible car on en connait la limite finie des possibilités. Oui me direz-vous, mais deviner une empreinte c'est impossible. Ce qui va nous conduire au troisième et dernier point.

3 - Chérie ou as-tu mis les empreintes ?

Eh bien oui qui conserve vos empreintes sous forme numérique ? Si vous êtes possesseur d'iPhone qui vous affirme qu'Apple ne les conserve pas chez eux ? Sans aller jusque là vous les avez communiqués lors de la création de votre carte d'identité et de votre passeport. Imaginez si nous pirations l'une de ces bases de données on accéderait à toutes vos empreintes et s'en serait fini de la sécurité de vos accès, car nous pourrions toujours vous envoyer un message d'alerte : "nous avons connus un incident de sécurité merci de changer vos empreintes au plus vite", admettez que c'est risible à souhait.

En 2014 lors d'une présentation au Chaos Computer Club de Berlin un chercheur a réussi grâce à des photos de la ministre de la défense à recréer son empreinte pour déverrouiller son iPhone 5S. Je vous invite d'ailleurs à lire cet article du figaro qui revient rapidement sur le problème : http://www.lefigaro.fr/secteur/high-tech/2017/01/16/32001-20170116ARTFIG00200-selfies-prenez-garde-au-vol-d-empreintes.php

Conclusion

Voilà vous avez en grande partie ma réflexion récente sur l'utilisation des empreintes comme secret pour accéder à des données à accès restreint. Je pense que les mots de passe comme les anti-virus ne sont pas morts et vont avoir de beaux jours devant eux. Il est certain par contre que trouver une alternative plus simple pour tous serait une bonne idée, d'ailleurs il existe les accès à carte à puce ou de token USB qui ont aussi leurs faiblesses par contre ce n'est pas le sujet de cet article. On aura surement la généralisation de système hybride mot de passe + autre chose.

Crédit photo : Conçu par Freepik